Open Source im professionellen Einsatz
Linux-Magazin 10/2015

Linux und OSS erleben neue Angriffsszenarien, Exploits und fatale Bugs

Die Gefahr ist real

Die Malware Mumblehard hat Linux-Server in Spamschleudern verwandelt, der Heartbleed-Bug in Open SSL blieb lange unentdeckt: Das Linux-Magazin hat sich in Sachen Sicherheit im Internet der Dinge, bei gehärteten Systemen, im vielbevölkerten Containergewerbe, bei Audits, IDS und Paketbauern umgetan.

349

Wenn beim Schulunterricht politische Bildung angesagt ist, sind die Webseiten der großen Parteien eine gute Anlaufstelle. Dass ein Schüler dort die Login-Seite zum Backend findet und mit der geistreichen Kombination aus »Nutzer: admin« und »Passwort:admin« prompt Zugang zum CMS bekommt, ist ein Beispiel, das gestandene Administratoren müde lächeln lässt. Der beschriebene Fall, den ein Linux-Magazin-Leser der Redaktion berichtete, bekommt aber einen säuerlichen Beigeschmack, wenn der Schüler, immerhin fiel das nicht autorisierte Login auf, eine Verwarnung von der Schulleitung bekommt. Hat es da den Richtigen getroffen? Eher nicht.

Der aus harmlosen Motiven, aus Neugier gestartete Versuch des Schülers ist ein Klacks gegen die Angriffsszenarien, denen IT-Verantwortliche inzwischen gegenüberstehen: Deutscher Bundestag gehackt, deutscher Webhoster wahrscheinlich um alle Zugangsdaten der Kunden erleichtert, Mailprovider GMX und Web.de mit zeitweise offener Sicherheitslücke. Solche Meldungen sind für Admins schon eher schlafraubender Natur. Es ist an der Zeit, sich über Security Gedanken zu machen.

Der Artikel zu Host-based IDS zeigt, wie sich ein Intrusion Dection System betreiben lässt. Auch Anwendungsentwickler sollten sich an sicherheitsrelevante Hausaufgaben setzen. Das Central Repository [1] verzeichnete im Jahr 2014 13 Milliarden Download-Anfragen. Im Repository sind unzählige Open-Source-Komponenten meist ungeprüft gehortet, auch alte Versionen, die dazu angetan sind, in neuen Anwendungen zu landen.

Abwehrreaktionen

Dass es im Internet der Dinge oft nicht ganz koscher zugeht, haben die jüngsten Versuche findiger Hacker gezeigt, die sich die teuer bezahlten Assistenzsysteme der Automobilbranche vorgenommen haben. Ein von Dritten gestarteter Eingriff in die Systeme der Limousine schmälert die Freude am Fahren doch merklich. Das Linux-Magazin hat das Internet der Dinge deshalb auf Sicherheitsfragen und ihre Lösungen abgeklopft.

Die Containertechnologie Docker ist zwar kaum in Gefahr, dass dort die Diebstahlwarnung bei voller Fahrt ertönt, ein Blick zur Sicherheitslage der Docker-Container bringt aber ebenfalls einige bemerkenswerte Probleme ans Licht.

Wer sich und seinen Arbeitgebern Sicherheit verschaffen will, analysiert mögliche Schwachstellen und wägt das Risiko ab: Das Security-Audit sollte Hochkonjunktur haben. Das Linux-Magazin zeigt, wie es mit Lynis funktioniert. .

Infos

  1. Central Repository: http://central.sonatype.org

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 1 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Entwicklungsrichtlinien für das IoT

    Die Cloud Security Alliance (CSA) reagiert mit der Veröffentlichung des Leitfadens Future-proofing the Connected World: 13 Steps to Developing Secure IoT Products auf die zunehmende Gefährdung von Sicherheit, Datenschutz und Privatsphäre durch unsachgemäß entwickelte vernetzte Geräte reagiert.

  • MIT kündigt "unhackbaren" RFID-Chip an

    Als "Hack-proof" bezeichnet das MIT vollmundig seine neue Generation von RFID-Chips. Sie sei gegen Power-Glitch-Attacken gewappnet.

  • LTR-Update: PostgreSQL erweitern

    Die eine Datenbank nennt die Funktion zur Großbuchstabenumwandlung "ucase", bei der anderen heißt sie "upper". Wer eine Anwendung migriert, bekommt damit ein Problem. Entweder ändert er nun die Applikation an hundert Stellen - oder die Datenbank an nur einer. Für PostgreSQL beschreibt ein Programmierexperte, wie man benutzerspezifische Funktionen einbaut.

  • Jubiläum bei der Open-Office-Konferenz

    In gut zwei Wochen, am 1. September, startet in Budapest die jährliche Open-Office-Konferenz. Dieses Jahr gibt es auch das zehnjährige Bestehen des Projekts zu feiern.

  • eco-Verband macht Security-Trends aus

    Als Kernthemen für IT-Sicherheit im Jahr 2017 macht  eco – Verband der Internetwirtschaft e. V. die folgenden Schwerpunkte aus: T-Sicherheit in Autos, Krypto-Viren, Attacken aus dem Internet der Dinge, CEO-Fraud und EU-US Privacy Shield.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.